Phát hiện lỗ hổng nghiêm trọng có khả năng phát tán mã độc dễ dàng qua tài khoản Steam

XSS (Cross-site Scripting) là một lỗ hổng thường thấy trên nền tảng ứng dụng website, và cách thức thực hiện cũng khá đơn giản. Website mục tiêu sẽ được cài đặt dữ liệu đầu vào dưới dạng các đoạn script như javascript hay HTML, từ đó tiếp tục được thực thi và tiếp tay bởi người dùng.

Động thái này có thể điều hướng người sử dụng mạng đến các trang web lừa đảo thông tin cá nhân hoặc có chứa malware độc hại. Trình duyệt web khi ấy sẽ không còn cách nào để loại bỏ các nhân tố mã độc tiêu cực, dẫn đến nhiều hậu quả khó lường về sau. Do vậy, ngày càng xuất hiện nhiều nhà lập trình đang nỗ lực khắc phục và hạn chế những loại hình xâm nhập, tấn công này. Nhưng đó là cả một công đoạn cực kỳ khó và gian nan.

Tuy nhiên, một chuyên gia an ninh nay đã khám phá ra một cách để tích hợp đoạn mã của riêng mình vào trong một tài khoản Steam, phá vỡ và vượt qua được mọi rào cản bảo vệ của Valve trước đó. Cụ thể, chuyên gia với tên gọi Cra0kalo đã tạo ra một concept miêu tả lại toàn bộ quá trình tấn công.

@showthread example one I made https://t.co/k7qjH1zgp0

— Cra0kalo (@cra0kalo) Ngày 07 tháng 02 năm 2017

Khi truy cập vào trang web của chuyên gia này đăng tải, một đoạn mã của bên thứ 3 sẽ cố tải về một tập tin định dạng exe cho Windows. Đó là một tệp tin vô hại, và trong một bài tweet khác của mình, Cra0kalo có nói rằng đó là một đoạn hiệu ứng giới thiệu video mà anh từng làm với VisualBasic 6 từ hồi 16 tuổi. Nhưng nếu có ý đồ khác xuất phát từ các cá nhân khác thì đó lại có thể trở thành một phần mềm hay chương trình độc hại hay bất kỳ loại virus nào điều chỉnh theo để xâm nhập.

TheNextWeb đã liên hệ đến Valve để thu thập thêm thông tin và bình luận. Không lâu sau đó, Phó chủ tịch MArketing của Valve - Doug Lombardi - đã thông báo lại tin vui rằng mọi vấn đề liên quan đã được sửa chữa và đảm bảo an ninh vững chắc cho hệ thống.

Tham khảo: TheNextWeb